Malang betul nasib Ilham Bintang. Wartawan senior ini kehilangan tabungan ratusan juta rupiah akibat rekening bank-nya dibobol. Ironisnya, musibah ini menimpa Ilham bukan karena kesalahannya, namun karena kelemahan sistem OTP (One Time Password) berbasis nomor telepon.
Awal mula masalah terjadi ketika seseorang mendatangi customer service sebuah operator telekomunikasi. Orang tersebut mengaku sebagai Ilham Bintang dan ingin mengganti kartu SIM miliknya. Hanya dalam hitungan menit, orang tersebut berhasil mendapatkan kartu SIM baru.
Masalahnya, orang tersebut bukanlah Ilham Bintang. Ilham yang asli saat itu sedang berada di luar negeri, dan hanya merasakan keanehan ketika telepon yang ia miliki tiba-tiba menunjukkan indikator SOS. Ilham tidak sadar, jika nomornya sudah pindah tangan ke Ilham “palsu”.
Ketika nomor telepon sudah direbut, credential Ilham satu per satu pun mulai diambil alih. Yang paling fatal tentu saja akun rekening bank Ilham, yang berujung pada raibnya seluruh isi tabungan yang berjumlah ratusan juta rupiah.
BACA JUGA: Polisi ungkap cara pelaku menguras rekening Ilham Bintang
Kelemahan OTP
Secara teori, proses autentikasi (alias memastikan seseorang itu benar adanya) dapat dilakukan dengan lima pendekatan. Pendekatan itu meliputi apa yang pengguna tahu (contohnya password atau PIN), apa yang pengguna miliki (kunci, token), siapa pengguna (sidik jari, retina mata), di mana lokasi pengguna, dan apa pengguna lakukan (seperti pola mengetik).
Standar keamanan saat ini minimal mengkombinasikan dua tahap autentikasi (atau biasa disebut two-factor authentication). Yang umum dilakukan adalah mengkombinasikan password dan memasukkan PIN dari alat khusus (seperti token). Namun penggunaan token kini perlahan digantikan oleh SMS berisi OTP, dengan asumsi nomor telepon adalah sesuatu yang pengguna pegang.
Akan tetapi seperti tercermin dari kasus Ilham Bintang, nomor telepon bisa saja direbut oleh orang lain. Tidak cuma Ilham. Beberapa waktu lalu, akun Gopay artis Maia Estianty juga mengalami kebobolan karena terjebak penipuan yang membuat SMS berisi OTP ter-forward ke nomor lain.
Karena itulah muncul gugatan, apakah OTP berbasis SMS masih layak digunakan?
Menurut praktisi keamanan informasi Setiawan Hermanto, OTP berbasis SMS sebenarnya masih memadai. “Jika terjadi kasus pembobolan rekening dengan cara mengganti SIM Card, hal ini seharusnya menjadi perhatian dari setiap perusahaan telekomunikasi. Pihak operator harus meningkatkan proses verifikasi dari pemilik akun untuk menghindari kejadian serupa,” ungkap Setiawan.
Jika ingin meningkatkan keamanan, Setiawan melihat penggunaan OTP berbasis aplikasi bisa menjadi alternatif. Penggunaan OTP berbasis aplikasi, seperti Google Authenticator, dapat menurunkan risiko karena memiliki masa aktif singkat dan OTP dibuat (generate) di perangkat pengguna tanpa tergantung SIM Card. “Namun penggunaan OTP berbasis aplikasi memerlukan pengetahuan lebih dari sisi penggunaannya, sehingga saya melihat OTP berbasis SMS tetap menjadi pilihan utama dari sisi penyedia layanan," ungkap Setiawan.
Pandangan berbeda dikemukakan Faisal Yahya. Pakar security ini melihat, OTP berbasis SMS sudah tidak memadai lagi karena memiliki beberapa kelemahan. Bahkan sumber kelemahan bisa berasal dari fitur resmi yang disediakan operator telekomunikasi. “Contohnya ada operator yang menyediakan fitur Auto Copy sehingga SMS di nomor utama bisa terkirim ke nomor lain tanpa ada notifikasi,” ungkap Faisal.
Belum lagi jika mengingat mayoritas aplikasi smartphone saat ini, baik di platform iOS dan Android, memiliki hak mengakses isi SMS. Faktor ini juga membuka celah untuk disalahgunakan. “Karena itu menurut saya OTP berbasis SMS sudah tidak layak karena banyak tergantung faktor lain,” tambah Faisal.
Senada dengan pandangan Setiawan Hermanto, Faisal melihat mekanisme OTP berbasis perangkat dapat menjadi alternatif. Jika ingin lebih aman lagi, penyedia layanan bisa menggunakan perangkat hardware khusus (seperti PIN token) untuk menghasilkan OTP. “Intinya OTP itu seharusnya di-generate, bukan dikirim over the wire,” tambah Faisal.
Sementara itu Ruby Alamsyah, CEO dan Chief Digital Forensic Indonesia, melihat pentingnya semua pihak menyadari kelebihan maupun kekurangan OTP berbasis SMS. “OTP hanyalah salah satu level keamanan. Kalau digunakan masing-masing pihak dengan benar, hasilnya akan aman. Akan tetapi, semua pihak yang terlibat harus pula menyadari OTP berbasis SMS bukanlah tingkat keamanan paling tinggi. Jangan sampai, OTP itu dijadikan sebagai benteng terakhir keamanan bagi pihak mana pun,” terang Ruby.
Terkait dengan kejadian pembobolan rekening bank dengan bantuan OTP, Ruby berpandangan penyedia layanan seperti finansial atau perbankan, seharusnya menggunakan level keamanan yang lebih tinggi. Contohnya menggunakan PIN token atau biometrik berupa pengenalan sidik jari, suara, atau wajah. “Saat ini sudah ada bank di Indonesia yang menerapkan keamanan hingga level biometrik,” cetus Ruby.
Langkah Pengamanan
Kasus yang menimpa Ilham Bintang sepertinya menyadarkan semua pihak kerentanan dari pendekatan OTP berbasis SMS. Namun, akan butuh waktu bagi penyedia layanan untuk mengubah sistem yang ada. Mau tidak mau, kita sebagai pengguna harus bisa melindungi diri sebaik mungkin agar terhindar dari kasus yang sama.
Menurut Ruby Alamsyah, langkah paling mendasar adalah jangan gegabah mengklik link yang dikirim orang melalui email, chat, atau aplikasi lainnya. “Selain itu, jangan pernah memberikan informasi terkait data pribadi dan data perbankan pribadi ke siapa pun melalui media apa pun,” tambah Ruby.
Sementara Faisal Yahya menyarankan penggunaan nomor telepon khusus untuk OTP. “Nomor ini juga harus dijaga kerahasiaannya dan tidak disebar ke orang lain,” ungkap Faisal. Nomor khusus OTP ini seharusnya juga tipe pascabayar sehingga bisa ditarik sewaktu-waktu.